标注的博客| 安全研究| 渗透测试| APT

首页

secwiki周刊(第191期)

作者 cayo 时间 2020-04-05
all

安全技术 [工具]  Burp Suite pro 1.7.26破解版本 Cracked 2017/12/3http://www.secer.com.cn/article/183 [文档]  第三期VFSec技术沙龙 PPThttps://mp.weixin.qq.com/s/m4kMZjHZUM6AaXp1VK2txw [书籍]  高级渗透测试:破解世界上最安全的网络#密码: n2sdhttps://pan.baidu.com/s/1eSvSElG [Web安全]  Cobra-W: 白盒源代码审计工具-白帽子版https://github.com/LoRexxar/Cobra-W [比赛]  hackergame2017-writeup (中国科学技术大学第四届信息安全大赛)https://volltin.gitbooks.io/hackergame2017-writeup/content/ [会议]  灯塔实验室·技术沙龙(第五期)议题回顾http://plcscan.org/blog/2017/10/ics-security-salon-5/ [Web安全]  DOM XSS – auth.uber.com http://stamone-bug-bounty.blogspot.com.es/2017/10/dom-xss-auth_14.html [新闻]  2017年Q3季度互联网安全报告https://guanjia.qq.com/news/n1/2168.html [移动安全]  VirtualApp:Android 双开沙箱https://github.com/asLody/VirtualApp/blob/master/CHINESE.md [Web安全]  代码审计之Semcms v2.3http://foreversong.cn/archives/755 [恶意分析]  WebShell-Detect-By-Machine-Learning: 使用机器学习识别WebShellhttps://github.com/lcatro/WebShell-Detect-By-Machine-Learning [工具]  微软开源扫描工具Sonarhttps://github.com/sonarwhal/sonar [工具]  CTFDefense: 一些CTF的离线工具https://github.com/ssooking/CTFDefense [恶意分析]  A Study of RATs 29 年152种远控名称的时间轴https://pbs.twimg.com/media/DKfVvtbW0AAEgnf.jpg:large [Web安全]  如何利用反弹 shell 构建你的僵尸网络http://www.jianshu.com/p/8dc5a4abcc09 [运维安全]  GitLeak:Github 上查找密码信息的小工具https://github.com/5alt/GitLeak [设备安全]  D-Link系列路由器漏洞挖掘入门https://paper.seebug.org/429/ [工具]  SemFuzz:基于语义自动生成漏洞PoChttps://drive.google.com/file/d/0B8Y63-uONPJSNHB6UUxtSUNBdlU/view [移动安全]  blueborne_CVE-2017-0785深入分析与调试http://ne2der.com/2017/blueborne-CVE-2017-0785/ [Web安全]  Typecho 后门事件始末https://xianzhi.aliyun.com/forum/read/2266.html [漏洞分析]  [CVE-2017-15688] GitBook 任意文件读取漏洞https://xianzhi.aliyun.com/forum/read/2258.html [数据挖掘]  深度学习开放数据集https://deeplearning4j.org/cn/opendata [Web安全]  Wappalyzer SSRFhttps://medium.com/@alyssa.o.herrera/wappalyzer-ssrf-write-up-2dab4df064ae [运维安全]  旁路WAF:使用Burp插件绕过一些WAF设备http://www.4hou.com/tools/8065.html [Web安全]  VulHint: VulHint是辅助代码审计的 sublime text 3 插件https://github.com/5alt/VulHint [Web安全]  打造一款1kb大马并且处理D盾以及安全狗拦截与查杀https://bbs.ichunqiu.com/thread-28476-1-1.html?from=sec [取证分析]  moloch 网络流量回溯分析系统https://mp.weixin.qq.com/s/iRobUHtTIAsaU-i2TvLjTQ [移动安全]  X-Ray:在线移动应用安全测试(iOS/Android)https://www.htbridge.com/mobile/ [Web安全]  菜鸟理解sql注入=“入侵五毛大楼”https://bbs.ichunqiu.com/thread-28460-1-1.html?from=sec [运维安全]  关于linux提权的命令你知道多少?http://mp.weixin.qq.com/s/OLuOTfVpeu-xlAqnf8SjJg [Web安全]  Typecho install.php 后门代码分析https://xianzhi.aliyun.com/forum/read/2257.html [Web安全]  WAF与静态统计分析http://blog.ptsecurity.com/2017/10/do-wafs-dream-of-static-analyzers.html [Web安全]  OSINTforPenTests: 渗透测试中的开源情报信息收集https://github.com/g-solaria/OSINTforPenTests [Web安全]  Java安全之反序列化漏洞分析https://mp.weixin.qq.com/s?__biz=MzIzMzgxOTQ5NA==&mid=2247484200&idx=1&sn=8f3201f44e6374d65589d00d91f7148e&chksm=e8fe9f21df8916371a34dd7259a4e5315e4a09ef86c86ad4c778ab11d9ca56b4d5d040cb0803#rd [运维安全]  互联网企业安全之端口监控https://mp.weixin.qq.com/s/SJKeXegWG3OQo4r0nBs7xQ [取证分析]  Cisco Traffic Analysis & Encrypted Threat Analyticshttps://blogs.cisco.com/enterprise/cisco-traffic-analysis-encrypted-threat-analytics [移动安全]  Passionfruit: iOS app分析取证系统https://github.com/chaitin/passionfruit [恶意分析]  Authenticode签名伪造——PE文件的签名伪造与签名验证劫持https://3gstudent.github.io/3gstudent.github.io/Authenticode%E7%AD%BE%E5%90%8D%E4%BC%AA%E9%80%A0-PE%E6%96%87%E4%BB%B6%E7%9A%84%E7%AD%BE%E5%90%8D%E4%BC%AA%E9%80%A0%E4%B8%8E%E7%AD%BE%E5%90%8D%E9%AA%8C%E8%AF%81%E5%8A%AB%E6%8C%81/ [杂志]  SecWiki周刊(第190期)https://www.sec-wiki.com/weekly/190 [运维安全]  Biu-framework 企业内网基础服务安全扫描框架https://github.com/0xbug/Biu-framework/blob/master/README_zh.md [Web安全]  Wordpress安全架构分析https://paper.seebug.org/422/ [工具]  sqlmap自带的tamper你了解多少?http://mp.weixin.qq.com/s/vEEoMacmETUA4yZODY8xMQ [无线安全]  无线网络(WI-FI)保护协议标准WPA2漏洞综合分析报告https://paper.seebug.org/420/

[恶意分析]  坏兔子勒索病毒事件基本分析报告https://cert.360.cn/static/files/%E5%9D%8F%E5%85%94%E5%AD%90%E5%8B%92%E7%B4%A2%E7%97%85%E6%AF%92%E4%BA%8B%E4%BB%B6%E5%9F%BA%E6%9C%AC%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf [取证分析]  UsbKeyboardDataHacker: USB键盘流量包取证工具https://github.com/WangYihang/UsbKeyboardDataHacker [比赛]  平衡信息杯-Write-Up http://rcoil.me/2017/10/%E5%B9%B3%E8%A1%A1%E4%BF%A1%E6%81%AF%E6%9D%AF-Write-Up/ [运维安全]  互联网企业安全之端口监控https://tech.meituan.com/security_port_monitor.html [移动安全]  偏执的iOS逆向研究员:收集全版本的macOS iOS+越狱+内核调试http://www.freebuf.com/articles/rookie/151326.html [工具]  deception-as-detection: 基于欺诈的检测技术https://github.com/0x4D31/deception-as-detection [漏洞分析]  关于最近的 Typecho 安全漏洞https://joyqi.com/typecho/about-typecho-20171027.html [Web安全]  NATBypass: 一款lcx在golang下的实现https://github.com/cw1997/NATBypass [恶意分析]  Detecting Malicious Requests Using Keras & Tensorflowhttps://github.com/adamkusey/securitai-lstm-model [Web安全]  分享一个近期遇到的逻辑漏洞案例http://www.freebuf.com/vuls/151196.html [运维安全]  HTTPS攻击原理与防御http://mp.weixin.qq.com/s/-o3ReWEkXII6PkOYqIf5rw [漏洞分析]  vulnerable-scene: 基于 Exploit-DB的漏洞环境https://github.com/havysec/vulnerable-scene [编程技术]  爬虫采集去重优化浅谈http://www.freebuf.com/articles/others-articles/151173.html [Web安全]  Jboss引起的内网渗透 http://rcoil.me/2017/10/Jboss%E5%BC%95%E8%B5%B7%E7%9A%84%E5%86%85%E7%BD%91%E6%B8%97%E9%80%8F/ [其它]  WDigest:清除内存中的密码,使mimikatz等工具无法获取到明文http://www.4hou.com/info/news/8126.html [无线安全]  Ubuntu 编译 OsmocomBB 环境 [更新2017-10-24]https://www.92ez.com/?action=show&id=23458 [Web安全]  社交应用Sarahah安全测试https://scotthelme.co.uk/sarahah/ [运维安全]  国产网站恶意代码监测(网马监控)工具优化版http://www.freebuf.com/sectool/150647.html [Web安全]  WAF攻防研究之四个层次Bypass WAFhttps://xianzhi.aliyun.com/forum/read/2251.html [取证分析]  Scan .onion hidden services with nmap using Tor, Dockerhttps://github.com/milesrichardson/docker-onion-nmap [Web安全]  前端防御从入门到弃坑--CSP变迁https://paper.seebug.org/423/ [Web安全]  CSRF花式绕过Referer技巧http://0x007.blog.51cto.com/6330498/1610946 [移动安全]  移动应用安全开发最佳实践https://info.nowsecure.com/rs/201-XEW-873/images/secure-mobile-development.pdf [Web安全]  exploitpack: Exploit Pack - Penetration testing frameworkhttps://github.com/juansacco/exploitpack [编程技术]  基于flask的restful-api后端笔记https://jiayi.space/post/ji-yu-flaskde-restful-apihou-duan-bi-ji [漏洞分析]  Apache Solr 已知版本漏洞现状基本调查报告https://cert.360.cn/report/detail?id=5d8fcd3c20ccac9f8b62b4e9214c5127 [恶意分析]  一个新的代码注入技巧http://www.hexacorn.com/blog/2017/10/26/propagate-a-new-code-injection-trick/ [设备安全]  IoT_reaper 情况更新http://blog.netlab.360.com/iot_reaper-a-few-updates/ [论文]  Unsupervised Machine Learning in Cyber Securityhttp://raffy.ch/blog/2017/10/22/unsupervised-machine-learning-in-cyber-security/ [移动安全]  OSXFuzz: macOS Kernel Fuzzerhttps://github.com/mwrlabs/OSXFuzz [工具]  Stage-RemoteDll.ps1:32位和64位架构上的各种DLL注入技术https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Stage-RemoteDll.ps1 [数据挖掘]  一文读懂集成学习(附学习资源)https://mp.weixin.qq.com/s/zEgan2w9QjAtt0ylzzwHPw [漏洞分析]  Linux TBB SFTP URI allows local IP disclosurehttps://hackerone.com/reports/253429 [漏洞分析]  onehttpd 0.7远程拒绝服务漏洞分析http://whereisk0shl.top/post/2017-10-25 [取证分析]  YeAHPot: Yet Another Honey Pothttps://github.com/juansacco/yetanotherhoneypot [取证分析]  美国情报分析互联网资源之一https://mp.weixin.qq.com/s/hxg2nHAIuUNt5VewML4v6A [工具]  SecurityFTW/cs-suite: AWS云基础设施安全审计工具https://github.com/SecurityFTW/cs-suite [Web安全]  Stealing Amazon EC2 Keys via an XSS Vulnerabilityhttps://ionize.com.au/stealing-amazon-ec2-keys-via-xss-vulnerability/ [Web安全]  Google reCaptcha验证码识别 - 85%成功率https://github.com/ecthros/uncaptcha [杂志]  安全客2017季刊-第3期https://mp.weixin.qq.com/s/din1YezwlRmchwOBxLP38A [恶意分析]  How to post-process YARA rules generated by yarGenhttps://medium.com/@cyb3rops/how-to-post-process-yara-rules-generated-by-yargen-121d29322282 [恶意分析]  recodeking/MalwareAnalysis: 恶意软件分析工具和资源列表https://github.com/recodeking/MalwareAnalysis

[文档]  DNS错误响应的案例https://ripe75.ripe.net/presentations/20-A-curious-case-of-broken-DNS-responses-RIPE-75.pdf [Web安全]  Slack SAML authentication bypasshttp://blog.intothesymmetry.com/2017/10/slack-saml-authentication-bypass.html [Web安全]  KeyStoneJS Pentest Reporthttps://securelayer7.net/download/pdf/KeystoneJS-Pentest-Report-SecureLayer7.pdf